Поделиться через


Часто задаваемые вопросы по безопасности для Azure NetApp Files

В этой статье приведены ответы на часто задаваемые вопросы о безопасности Azure NetApp Files.

Можно ли настроить шифрование сетевого трафика между виртуальной машиной Azure и хранилищем?

Трафик данных Azure NetApp Files по сути является безопасным путем разработки, так как он не предоставляет общедоступную конечную точку, а трафик данных остается в виртуальной сети, принадлежащей клиенту. По умолчанию данные не шифруются. Но трафик от любой виртуальной машины Azure (с клиентом NFS или SMB) к Azure NetApp Files так же безопасен, как при любом другом взаимодействии между виртуальными машинами Azure.

Протокол NFSv3 не обеспечивает поддержку шифрования, поэтому этот поток данных не может быть зашифрован. При необходимости можно включить шифрование NFSv4.1 и SMB3 для данных при передаче. Трафик данных между клиентами NFSv4.1 и томами Azure NetApp Files можно шифровать с использованием Kerberos и протокола AES-256. Дополнительные сведения см. в статье Настройка шифрования Kerberos NFSv4.1 для Azure NetApp Files. Трафик между клиентами SMB3 и томами Azure NetApp Files можно шифровать с помощью алгоритма AES-CCM в SMB 3.0 и алгоритма AES-GCM в SMB 3.1.1. Дополнительные сведения см. в статье Создание тома SMB для Azure NetApp Files.

Можно ли шифровать неактивные данные в хранилище?

Все тома Azure NetApp Files шифруются по стандарту FIPS 140-2. Узнайте, как управляются ключи шифрования.

Шифруется ли трафик репликации между регионами и межзонными файлами Azure NetApp Files?

Репликация Azure NetApp Files между регионами и между зонами использует шифрование TLS 1.2 AES-256 GCM для шифрования всех данных, передаваемых между исходным томом и целевым томом. Это шифрование в дополнение к шифрованию Azure MACSec, которое по умолчанию используется для всего трафика Azure, включая межрегиональная репликация Azure NetApp Files и репликация между зонами.

Как осуществляется управление ключами шифрования?

По умолчанию управление ключами для Azure NetApp Files обрабатывается службой с помощью ключей, управляемых платформой. Для каждого тома создается уникальный ключ шифрования данных XTS-AES-256. Используется иерархия ключей шифрования для шифрования и защиты всех ключей томов. Эти ключи шифрования никогда не отображаются и никуда не передаются в незашифрованном виде. При удалении тома Azure NetApp Files немедленно удаляет ключи шифрования тома.

Кроме того, ключи, управляемые клиентом, для шифрования томов Azure NetApp Files можно использовать, где ключи хранятся в Azure Key Vault. С помощью ключей, управляемых клиентом, можно полностью управлять связью между жизненным циклом ключа, разрешениями на использование ключей и операциями аудита с ключами. Эта функция общедоступна в поддерживаемых регионах. Шифрование томов Azure NetApp Files с ключами, управляемыми клиентом с помощью управляемого модуля безопасности оборудования, является расширением этой функции, что позволяет хранить ключи шифрования в более безопасной службе FIPS 140-2 уровня 3 HSM вместо службы FIPS 140-2 уровня 1 или уровня 2, используемой Azure Key Vault.

Azure NetApp Files поддерживает возможность перемещения существующих томов с помощью ключей, управляемых платформой, в управляемые клиентом ключи. После завершения перехода невозможно вернуться к ключам, управляемым платформой. Дополнительные сведения см. в статье "Переход тома Azure NetApp Files на ключи, управляемые клиентом".

Можно ли настроить правила политики экспорта NFS для управления доступом к целевому объекту подключения службы Azure NetApp Files?

Да, вы можете настроить до пяти правил в одной политике экспорта NFS.

Можно ли использовать управление доступом на основе ролей Azure (RBAC) с Azure NetApp Files?

Да, Azure NetApp Files поддерживает возможности Azure RBAC. Кроме встроенных ролей Azure, вы можете создавать пользовательские роли для Azure NetApp Files.

Полный список разрешений для Azure NetApp Files см. в описании работы поставщика ресурсов Azure для Microsoft.NetApp.

Поддерживает ли Azure NetApp Files журналы действий Azure?

Azure NetApp Files — нативная служба Azure. Это означает, что для Azure NetApp Files автоматически создаются журналы всех операций в API PUT, POST и DELETE. Например, в этих журналах отображаются сведения о том, кто создал моментальный снимок, изменил том и т. д.

Полный список операций API см. в статье REST API Azure NetApp Files.

Можно ли использовать политики Azure для Azure NetApp Files?

Да, вы можете создавать пользовательские политики Azure.

Однако нельзя создавать политики Azure (пользовательские политики именования) в интерфейсе Azure NetApp Files. См. раздел рекомендации по сетевому планированию файлов Azure NetApp.

Безопасно ли удаляются данные при удалении тома Azure NetApp Files?

Удаление тома Azure NetApp Files выполняется программно с немедленным эффектом. Операция удаления включает удаление ключей, используемых для шифрования неактивных данных. Нет ни единой возможности восстановить удаленный том после успешного выполнения операции удаления (через такие интерфейсы, как портал Azure и API).

Как учетные данные соединителя Active Directory хранятся в службе Azure NetApp Files?

Учетные данные соединителя AD хранятся в базе данных уровня управления Azure NetApp Files в зашифрованном формате. Используемый алгоритм шифрования — AES-256 (односторонний).

Следующие шаги